제주국제자유도시개발센터(JDC)는 제주특별자치도 설립 및 국제자유도시 조성을 위한 특별법에 따라, 국가 차원에서 제주국제자유도시 개발을 촉진하기 위해 설립된 기관으로, 공공성과 사업성을 동시에 추구할 수 있는 특수법인이다. 관광·교육·의료·첨단 등 핵심 및 전략사업을 전담 추진하는 것이 주 업무이며, 현재 영어교육도시, 헬스케어타운, 신화역사공원, 첨단과학기술단지 등 각종 프로젝트를 진행 중에 있다.
SW 개발·운영·패치 전 과정 보안 강화
제주도를 국제적인 첨단 기술·관광·문화 도시로 발전시키기 위해 설립된 JDC는 제주도의 위상이 높아지면서 기관에 대한 지능화된 사이버 공격이 증가할 것으로 예상하고, 지능형 공격에 대한 근본적인 대책을 마련하기 위해 시큐어코딩 솔루션을 도입했다.
김형범 JDC 정보관리실 대리는 “3·20 및 6·25 등 공공기관을 대상으로 한 사이버 공격의 시도가 늘어나고 있으며, 규모가 점차 확대되고 있다. 공격기술과 그 유형이 점차 고도화되면서, 외부에서 취약점을 스캔하는 방식의 취약점 점검으로는 소스코드 레벨의 문제를 발견하는 데에 어려움이 있을 것으로 판단해 시큐어코딩 솔루션 도입을 결정했다”고 말했다.
웹 애플리케이션 기반은 네트워크 시스템과 달리 표준화 및 사전 보안검증 조치가 부족하기 때문에 많은 취약점을 내포할 가능성이 높다. 그래서 JDC는 운영중인 대외 서비스용 웹기반 시스템에 소스코드 취약점 상시점검체계를 수립해 잠재적 공격가능성을 대비하고 프로그램의 개발 수명주기에 걸쳐 적용시키고자 했다.
김 대리는 “시큐어코딩은 사전에 취약점을 제거해 외부공격을 예방함으로써 보안의 기본을 강화할 수 있는 솔루션”이라며 “최근 사이버공격은 애플리케이션 취약점을 교묘하게 지능적으로 이용하고 있기 때문에 개발 단계에서부터 보안 취약점을 제거해 공격을 사전에 방어하는 시큐어코딩이 필수”라고 말했다.
시큐어코딩, SW 개발 일정·비용 단축시켜
전문기관의 분석 보고서에 따르면 애플리케이션 취약점을 노리는 지능형 공격을 막기 위해 개발단계에서부터 취약점을 미리 조치하는 것이 가장 현명한 방법이며, 소프트웨어 개발을 완료한 후 취약점을 파악해 수정하는 것 보다 30배 가량의 경제적 효율을 보장할 수 있다.
시큐어코딩을 적용하면 소프트웨어 개발 기간이 길어질 수밖에 없다. 개발 과정에서 취약점을 찾아내기 때문에 애초에 계획된 일정에 차질을 빚을 수 있고 개발조직과 보안조직간 갈등도 발생할 수 있다.
김 대리는 “많은 기업들이 솔루션 도입 비용 문제와 개발자들이 사용을 꺼린다는 문제로 소프트웨어 개발 보안에 소극적이지만, 이 때문에 호미로 막을 것을 가래로 막게 되는 결과를 초래할 수 있다”며 “개발과정에서 시큐어코딩을 적용하면 개발 완료 후 혹은 소프트웨어를 사용하는 과정 및 사고 발생 후 취약점을 수정하려면 시간과 비용을 더 많이 쓰게 된다”고 설명했다.
시큐어코딩은 일차적으로 안전성을 보완하는 점검도구의 역할이지만, 보안검증 프로세스가 단계적으로 구축되기 때문에 개발자의 보안인식이 제고된다는 관리측면의 이점도 있다고 김 대리는 설명했다. 단순한 기술적 수행에 그치지 않고, 전사적인 보안의식이 향상되기 때문에 향후 고객신뢰도나 매출 측면에까지 잠재적 영향을 기대할 수 있다.
시큐어코딩 솔루션 도입 사업을 진행하면서 JDC는 소스코드 취약점의 정확한 탐지 기능을 가장 중점적으로 평가했다. 시큐어코딩 솔루션 중에서는 소프트웨어 취약점 진단도구를 약간 개선시킨 수준에 그치는 것이 많아 최근 지능형 공격을 방어하는데 한계가 있기 때문이다. JDC는 형식적인 소프트웨어 개발보안이 아니라 근본적인 보안 강화를 위해 형상관리와 사용자 관리가 체계적으로 수행되는지 살펴봤으며, 소스코드 취약점 분석 이력관리와 배포, 관리서버와 에이전트간의 구동 등 세세한 기능까지 검토했다.
JDC는 트리니티소프트의 ‘코드레이’를 자사 환경에 가장 적합한 솔루션으로 선택했다. 이 제품은 소프트웨어와 하드웨어 일체형의 어플라이언스로 구축과 관리가 쉽고, 취약점 진단과 형상관리, 사용자관리가 유연하게 기능한다는 점을 높이 평가했다.
코드레이를 통해 웹서버에 대한 정보를 분석하고, 모의테스트를 실시해 웹서버에 존재하는 취약점을 진단한다. 후에 관련된 정보를 통계처리해 제공될 수 있으며, 개발자와 보안담당자 간의 프로젝트별 진단과 권한설정이 가능하기 때문에 소스코드를 체계적으로 관리하기에 적합하다. 또한 취약점이 발생한 정확한 위치와 연관된 부분까지 추적할 수 있는 ‘소스코드 로직추적’ 기능도 타사 솔루션과 대비되는 기능이었다. 소스코드에 대한 전반적 흐름이 시각화되기 때문에 사용자 편에서의 직관적인 점검과 진단이 가능하다.
애플리케이션 관리 효율성 향상
JDC는 시큐어코딩 솔루션 구축으로 웹 서비스의 보안성이 한층 향상될 것으로 기대하고 있다. 웹기반 시스템의 소스코드 단에서 취약점 점검 및 조치를 통해 해당 시스템의 안전행정부 SW개발 보안기준 43개 항목, 국정원 8대 취약점, OWASP TOP 10, CWE/SANS TOP 25가 적용된 탐지규칙을 이용해서 소스코드 품질향상 및 보안성을 강화할 수 있게 됐다.
코드레이를 통해 제공되는 최신패치와 룰 업데이트를 정기적으로 수행시켜 오탐 및 미탐 가능성을 줄이고, 취약점이 존재하는 소스코드에 한해 웹 서버로 배포가 자동으로 제한되는 기능을 유용하게 사용할 것으로 예상한다.
더불어 각 서비스의 변화관리를 체계화 할 수 있을 것으로 기대한다. 코드레이에 탑재돼 있는 SVN 형상관리 기능을 통해 소스코드 백업, 리비전 관리, 작업이력 관리를 효율적으로 수행할 수 있을 것으로 예상한다.
김 대리는 “사업을 시작할 당시 본사가 제주도에 있다는 점 때문에 기간 안에 완료할 수 있을지 걱정했지만, 트리니티소프트의 적극적인 지원으로 애초 예정했던 1개월 내에 무사히 프로젝트를 마칠 수 있었다”며 “일정 변동 없이 솔루션 구축이 완료됐으며, 이후 예정된 소프트웨어 개발사업을 원활하게 진행할 수 있었던 것도 효과라고 볼 수 있다”고 말했다.
솔루션 활용률 높여 보안 강화
JDC는 다양한 업무관련 시스템을 구축해왔으며, 최근에는 SAP ERP를 도입하는 등 빠르게 정보화 사업을 진행해왔다. 올해는 도입된 시스템의 기능개선과 안정화를 통한 내실을 다지고, 보안부분에서는 모바일 및 무선 네트워크와 관련된 보안을 강화할 예정이다.
특히 시큐어코딩은 솔루션 구축으로 완료되는 것이 아니라 개발자들이 툴을 잘 활용해 보안이 강화된 소프트웨어를 개발하는 것이 관건이기 때문에 개발자와 보안조직의 협업이 무엇보다 중요하다.
김 대리는 “보안은 솔루션 구입만으로 문제를 해결할 수 없다. 기관에서 해당 솔루션을 이용해 업무를 처리하는 담당자의 협조를 얼마만큼 잘 이끌어 내느냐가 솔루션 도입의 성공을 결정짓는 가장 중요한 요소다. 현재 각 시스템 담당자들이 긍정적으로 협조하고 있어, 큰 문제없이 정착할 것으로 예상한다”고 말했다.
